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SYSTEME CRYPTOGR&PHIQUE DE SIGNATURE DE GROUPS 

L 1 invention concerne le domaine technique de la 
securite des services, et plus precisement de la signature 
electronique de message, au moyen de la cryptographie . 

On rappelle que la signature electronique est un 
mecanisme relevant de la cryptographie dite a cle publique: 
le signataire possede une cle secrete et une cle publique 
associee. II produit la signature d'un me.ssage a l'aide de 
sa cle secrete. Le verifieur a uniquement besoin de la cle 
publique pour verifier la signature . 

Plus precisement encore, 1' invention concerne les 
signatures (electroniques) de groupe. Une signature de 
groupe permet aux mernbres d'un groupe de produire une 
signature telle que le verifieur reconnaitra r cette 
signature corame ayant ete produite par un membre du groupe, 
tout en ignorant de quel membre il s'agit. Cependant, une 
autorite de confiance a la possibility de lever a ; tout 
moment cet anonymat et done de reveler l'identite du 
signataire, De telles signatures sont bien souvent ; "non- 
correlables" : il est impossible de determiner si deux 
signatures ont ete emises par la m§me personne ou non. 

Dans tout schema classique de signature de groupe, 
est attribute au groupe une unique cle publique de groupe, 
tandis qu'est attribue & chaque membre de ce groupe un 
identifiant et une cle privee qui leur sont propres - A 
l'aide de sa cle privee, un membre du groupe peut produire 
une signature de groupe d'un message de son choix, laquelle 
signature peut etre verifiee par une entite quelconque a 
l T aide de la cle publique de groupe. La verification 
apprend seulement a cette entite que la signature a 6te 
produite par un membre du groupe, mais ne lui donne aucune 
information sur 1 1 identifiant du membre qui a signe. En 
revanche, l f autorite de confiance dispose d'une information 
suppl<§mentaire qui lui permet de retrouver 1 ' identifiant de 
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ce membre, et done de lever cet anonymat a tout moment (on 
dit que l'autorite de confiance "ouvre" la signature). 

Les signatures de groupe ont beaucoup d T applications 
parmi lesquelles les deux suivantes. 
5 Une premiere application, decrite par reference a la 

figure 1, est donnee par les encheres electroniques . Elles 
mettent en place trois protagonistes : un serveur 
d' encheres 2, une autorite de confiance 4 et un client CI. 
L' ensemble des clients forme un groupe G dit "groupe des 

10 clients". Un utilisateur desirant s'inscrire au groupe des 
clients G doit s'adresser a l'autorite de confiance 4, qui 
lui fournit sa cle privee SK. II obtient ainsi le droit de 
produire une signature de groupe. Muni de ce droit , il 
pourra signer chacune de ses encheres de maniere anonyme. 

15 Lors d'une enchere pour un certain produit, chaque membre 
du groupe des clients peut encherir en signant un message 
contenant notamment le produit mis en vente et le montant 
de son enchere. Le serveur d' encheres 2 peut verifier 
1 ' appartenance au groupe et done la validite de 1' enchere 

20 simplement en verifiant la signature de groupe. Le 
vainqueur est celui qui donne la derniere enchere avant 
1 1 adjudication . Le dernier message recu par le serveur 
d' encheres est done celui du vainqueur. Le serveur adresse 
alors ce message et la signature de groupe correspondante a 

25 l'autorite de confiance 4, qui est la seule capable d'en 
lever 1' anonymat et done de determiner 1' identity physique 
de l'acheteur du produit mis aux encheres. 

Les encheres se doivent d'etre rapides . En effet, 
elles se deroulent pendant un temps trhs court ou parfois 

30 le premier qui encherit a un prix donne a des chances de 
gagner la partie parce qu'il aura atteint un niveau trop 
haut pour les autres. C'est pourquoi le mecanisme de 
signature de son off re ne doit pas prendre trop de temps. 

Une seconde application, decrite par reference a la 

35 figure 2, est le paiement electronique anonyme. Elle met en 



place quatre protagonistes : un client CI, un commercant 6, 
une banque 8 et une autorite de confiance 4. Chaque client 
CI doit se faire enregistrer dans le systeme et obtenir une 
cle privee SK d'un schema de signature de groupe avant de 
pouvoir effectuer sa premiere transaction. Pour effectuer 
un paiement, le client doit retirer des pieces 
electroniques PE aupres de sa banque 8. On rappelle qu'une 
piece electronique represente une donnee (un nuraero de 
serie) signee numeriquement par la banque. Les pieces PE 
qu'il retire sont anonymes grace a 1 ' utilisation d'un 
mecanisme dit de signature aveugle . 

La depense d'une piece PE chez un commercant 6 se 
fait de la maniere suivante : le client (Cli dans 
l'exemple) genere une signature de groupe portant sur la 
piece electronique PE et transmet 1» ensemble (signature et 
PE) au commercant. Si la piece est valide (verification de 
la signature de la banque) et la signature de groupe : est 
authentique, le commergant accepte la transaction. En : fin 
de journee (ou au moment le plus opportun) , le commergant 
transmet a la banque les signatures et les pieces recues en 
paiement pour compensation de leur valeur. En cas de fraude 
(reutilisation d'une meme piece dans plusieurs transactions 
par exemple), la bangue 8 envoie la signature de groupe 
portant sur la piece litigieuse a 1' autorite de confiance 4 
afin qu'elle identifie le client indelicat et sanctionne le 
contrevenant . 

II existe de nombreux articles proposant des scheraas 
de signature de groupe. Actuellement, deux d'entre eux sont 
les plus souvent cites : i) J. Camenisch, M. Stadler 
"Efficient group signature scheme for large groups" In 
B.Kaliski, Advances in Cryptology; Eurocrypt ' 97 , vol.1294 
de LNCS, pages 410-424. Springer Verlag, 1997, et ii) G. 
Ateniese, J. Camenisch, M. Joye, G. Tsudik "A practical and 
provably secure coalition-resistant group signature scheme" 
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In M. Bellare Advances in Cryptology - CRYPTO 2000, vol. 
1880 de LNCS, pages 225-270. Springer Verlag. 

lis sont tous les deux bases sur la meme idee 
generale qui est la suivante. 
5 Tout d'abord, ils considerent un schema de signature 

ordinaire , par exemple selon 1'algorithme RSA (Rivest, 
Shamir, Adleman) , un schema de chiffrernent probabiliste (si 
on chiffre deux fois le meme message, les chiffres 
correspondants sont differents) et semantiquement sur (il 
10 est impossible d T apprendre une quelconque information sur 
le texte clair a partir du chiffre) . 

Ensuite, une autorit6 de confiance 4 responsable du 
groupe G genere les cles de chiffrernent et de signature, 
puis met les cles publiques correspondantes dans un endroit 
15 generalement accessible, par exemple un annuaire. Elle 
garde secrete les cles privees SK associees. 

Pour devenir membre du groupe, une personne 
determine un identifiant (valeur numerique que l'autorite 
de confiance peut relier a la personne physique ou morale 
20 membre du groupe) et interagit avec l'autorite de confiance 
4 pour obtenir un certificat de membre qui est en fait la 
signature de 1 ' identifiant a l f aide de la cle privse SK de 
signature de l'autorite de confiance. 

Pour signer un message m au nom du groupe, le membre 
25 en question realise deux actions : 

- action i) : chiffrer son identifiant a I'aide de 
la cle publique de chiffrernent de l'autorite de confiance 
(cette partie servira a ouvrir eventuellement la signature) 
et 

30 - action ii) : faire la preuve qu'il connalt un 

certificat de membre associe au texte clair inclus dans le 
chiffre (preuve qu'il fait bien partie du groupe) . 

On se base ici sur la cryptographie, et plus 
particulierement sur les preuves de connaissance pour 



obtenir les proprietes voulues sur les signatures de 
groupe . 

La verification de la signature consiste a verifier 
la preuve de connaissance, par exemple du type a 
connaissance nulle. L'ouverture de la signature est le 
simple dechiffrement de 1 ' identif iant . 

L ' inconvenient majeur d'un tel principe est le poids 
des calculs. En effet, chaque signature necessite de 
realiser un chiffrement (action i) et surtout un certain 
nombre de preuves de connaissance (action ii) qui sont en 
pratique tres coQteuses en temps de calcul, puisque mettant 
en oeuvre de nombreuses exponentiations modulaires (par 
exemple, il faut environ une seconde par exponentiation 
modulaire avec une carte a puce munie d'un 
cryptoprocesseur) . 

Au vu de ce qui precede, la present e invention a 
pour but de mettre en place un schema de signature- de 
groupe qui soit tres rapide, c'est-a-dire ne demandant .< que 
tres peu d' exponentiations modulaires (dans les exemples 
typiquement une ou deux exponentiations au maximum) , tout 
en gardant les proprietes des schemas de signature, de 
groupe actuels (taille de signature constante, schema sur, 
cle publique inchangee a l'arrivee d'un nouveau membre, 
etc. ) . 

Sur le plan industriel, elle permet ainsi une mise 
en ceuvre rapide meme en utilisant des supports de calcul a 
capacite reduite, telles que des cartes a puce et 
dispositifs communicants portatifs analogues. 

Plus particulierement, 1' invention prevoit, selon un 
premier objet, un systeme de signature de groupe permettant 
a un membre d'un groupe de produire, a 1 ' aide d'une donnee 
personnalisee, un message accompagne d'une signature 
prouvant a un verifieur que le message provient d'un membre 
du groupe, 




caracterise en ce que la donnee personnalisee se 
presente sous forme integr^e a un support materiel 
electronique ■ 

Dans un mode de realisation prefere, le support 
5 materiel electronique integre egalement des moyens de 
chiffrement pour realiser un chiffre personnalise a partir 
de ladite donnee personnalisee prealablement a la signature 
du message, des moyens pour realiser une combinaison d'un 
message a signer et le chiffre associe a ce message, par 
10 exemple sous forme de concatenation du message avec le 
chiffre, et des moyens de signature du message avec la 
donnee personnalisee sous forme de chiffre associe* a ce 
message . 

La donnee personnalisee peut etre un identifiant 
15 personnel au membre, le support materiel electronique 
integrant en outre une cle de chiffrement commune aux 
membres du groupe, et les moyens de chiffrement realisant 
un chiffre de 1 1 identifiant avec cette cle de chiffrement. 

De preference, les moyens de chiffrement realisent 
20 un chiffre de 1 1 identifiant et d'un alea. 

En variante, la donnee personnalisee peut etre une 
cle de chiffrement diversifiee, propre a chaque membre du 
groupe, les moyens de chiffrement realisant un chiffre d'au 
moins une donnee, par exemple un alea, avec la cle de 
25 chiffrement . 

Les moyens de chiffrement peuvent mettre en ceuvre un 
algorithme de chiffrement a cle secrete, par exemple 
l T algorithme connu par la designation AES (advanced 
encryption standard) , ou un algorithme de chiffrement a cle 
30 publique, par exemple 1' algorithme connu par la designation 
RSA (Rivest, Shamir, Adleman) . 

Avantageusement, les moyens de signature met tent en 
ceuvre un algorithme de signature a cle pxivee, par exemple 
1 'algorithme connu par la designation RSA, celui-ci pouvant 
35 inclure la norme elite PKCSftl telle que definie notamment 



dans le document "RSA Cryptography Standard - rsa 
Laboratories. Draft2 - 5 janvier 2001". 

Avantageusement, le support materiel electronique 
est un dispositif communicant portatif, notamment une carte 
a puce. 

Selon un deuxieme aspect, 1» invention concerne 
egalement un procede d' emission d'un message avec une 
signature de groupe de ce message, caracterise en ce qu'il 
met en ceuvre le systeme selon le premier aspect, la 
signature du message etant produite avec une cle SK priv<§e 
commune aux membres du groupe et integrant la donnee 
personnalisee produite a partir du support materiel 
electronique, 

le procede prevoyant de transmettre le message ainsi 
signe a un verifieur sans recours a une fourniture de 
preuve a ce dernier de 1 ' appartenance de membre audit 
groupe, tel qu'un certificat de membre ou la preuve de 
possession d'un tel certificat. 

Selon un troisieme aspect, 1' invention concerne un 
procede de verification d'un message recu avec une 
signature de groupe de ce message, le message ayant ete 
emis conformement au procede selon le deuxieme aspect, 
caracterise en ce que la verification est realisee au moyen 
d'une c!6 publique qui correspond a ladite cle privee. 

Selon un quatrieme aspect, 1' invention concerne un 
procede d'ouverture d'une signature produite par le systeme 
selon le premier aspect, caracterise en ce qu'il comprend 
les etapes consistant a : 

- mettre a disposition prealablement a la signature 
des donnees de correspondance entre les identites des 
membres du groupe et leur donnee personnalisee ; 

- dechiffrer la donnee personnalisee recue a partir 
d'un support materiel electronique dont la signature est a 
ouvrir ; et 




Z rnettre en correspondance la donnee personnaiisee 
dechiffree avec I'identite du membre du groupe. 

Selon un cinquierne aspect r 1' invention concerne un 
procede de preparation d'un support materiel elect ronique 
5 du systeme selon le premier aspect, personnalise a un 
membre adrnis a un groupe, caracterise en ce qu'il comprend 
les etapes consistant a : 

- produire la donnee personnaiisee destin6e audit 
support materiel electronique & personnaliser ; et 

10 - inscrire cette donnee personnaiisee avec une cl6 

privee de signature dans le support. 

L 1 invention et les avantages qui en decoulent 

apparaitront plus clairement a la lecture de la description 

qui suit des modes de realisation preferes, donnes purement 
15 a titre d'exemples non-limitatif s, par reference aux 

dessins annexes dans lesquels : 

- la figure 1, deja decrite, est un schema de 
principe illustrant un exemple de codage de groupe dans le 
cadre d'une vente aux encheres ; 

20 - la figure 2, deja decrite , est un schema de 

principe illustrant un exemple de codage de groupe dans le 
cadre d ! achats par des pieces electroniques ; 

- la figure 3 est un schema servant a illustrer des 
transactions au moyen d'une carte a puce pour la signature 

25 de messages conf ormement a I 1 invention ; 

- la figure 4 est un schema bloc des elements 
fonctionnels d'une carte a puce pouvant etre utilisee pour 
realiser les signatures de groupe conf ormement k 
l 1 invention ; 

30 - la figure 5 est un organi gramme general des 

elements fonctionnels qui interviennent au sein d'une carte 
a puce pour realiser les signatures de groupe conf ormement 
a 1' invention ; 
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- la figure 6 est un organigrarame d'un premier 
exemple de raise en oeuvre d' elements specif iques vis-a-vis 
de 1 ' organigramme de la figure 5 ; 

la figure 7 est un organigramme selon une variante 
5 du premier exemple, et 

la figure 8 est un organigramme d'un deuxieme 
exemple de raise en oeuvre d' elements specif iques vis-a-vis 
de 1 • organigramme de la figure 5. 

Conformement a 1' invention, plutot que d'envisager 
10 les deux actions i) et ii) precitees de l'etat de la 
technique, on prevoit une • approche selon laquelle 
l'identifiant n'est plus associee directeraent a une 
personne physique ou morale, raais integre a un dispositif 
electronique communicant attribue a un raembre autorise d'un 
15 groupe. Dans le mode de realisation, le dispositif, qui • 
est typiquement portatif tel qu'une carte a puce ou un -' 
boitier incorporant celle-ci (par exemple un terminal de 1 
telephone mobile) , comprend avantageusement sur un meme * 
ensemble physique : une donnee personnalisee (identifiant 1 
ou cle de chiffreraent diversifiee) memorisee sous forme » 
electronique, les moyens pour chiffrer cette donnee, et les 
moyens pour realiser la signature de groupe sur 1' ensemble 
comprenant le message a transmettre et le chiffre de la 
donnee personnalisee. 

25 Un ex emple de raise en oeuvre de 1 ' invention est 

represents a la figure 3 pour le cas d'un raembre M d'un 
groupe G qui realise, a l'aide d'une carte a puce 
personnalisee 26, des transactions avec des prestataires de 
service, en 1' occurrence un serveur d'encheres 2 et un 
30 commercant 6. La communication entre un merabre M et un 
prestataire peut se faire par tout moyen connu, par exemple 
depuis son ordinateur personnel (PC) 10 via un reseau de 
communication, tel qu' Internet, ou par un telephone mobile 
27 equipe d'un lecteur 27a de carte a puce externe, 
l'echange de donnees avec les prestataires de service 2, 6 
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gTeflectuant alors par voie hertzienne 29 vlra-^-aTrtrenTre— 2i^b- 

du telephone mobile. 

L'ordinateur personnel 10 comprend notamment une 
unite centrale 14, une carte modem 16 ou autre interface de 

5 communication avec le reseau 12, un ecran de visualisation 
18, et un clavier 20 avec dispositif de pointage 22. II 
comprend egalement un lecteur de carte a puce 24 par 
laquelle la carte a puce 2 6 peut communiquer avec son unite 
centrale 14 et sur le reseau 12. La partie puce 26a de la 

10 carte est de preference du type securise. 

Les services offerts par ■ le serveur d'encheres 2 et 
le commergant 6 sont identiques a ceux decrits dans le 
cadre respect ivement des figures 1 et 2, et ne seront pas 
decrits a nouveau par souci de concision. De meme, leur 

15 mode de f onctionnement avec la banque 8 (pour le commergant 
6) et l'autorite de confiance 4 est sensiblement le meme. 

Conformement a 1' invention, l'autorite de confiance 
4 delivre un identifiant z a un membre M accepte par elle 
du groupe G directement sous forme materielle, en 

20 l 1 occurrence sous forme de la carte a puce personnalisee 26 
avec une puce securisee 2 6a. 

L r inscription de la donnee personnalisee dans une 
carte (sous forme d T identifiant z ou de cle K diversifies 
designee Kz) s'effectue par un protocole d'echange de 

25 donnees via une borne geree par l'autorite de confiance. 
La donnee personnalisee est etablie et stockee au sein de 
la carte durant cet echange. 

L'autorite de confiance 4 peut egalement etablir la 
donnee personnalisee avec une carte a puce existante des 

30 lors que cette carte soit a meme de permettre le chargement 
de donnees apres qu'elle soit ernise. Ceci est notamment le 
cas avec des cartes polyvalentes destinies a integrer de 
nouvelles applications a tout moment par chargement a 
partir d 1 une borne, permettant de reunir plusieurs services 

35 ou fonctions distinct s sur \m seul support. 
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L'autorite de confiance associe done un membre 
(personne physique ou morale, designe de maniere generique 
par le terme "personne") du groupe . G a sa donnee 
personnalisee par le biais de la carte personnalisee 26 
emise pour cette personne. Celle-ci n'aura done pas de 
lm-meme a enregistrer sa donnee personnalisee et a fournir 
la preuve cryptographique qu'il la possede. 

Une carte personnalise 26 est emise a une personne 
candidate par l'autorite de confiance 4 lorsque cette 
personne remplie les conditions pour devenir membre du 
groupe G, avec les verifications et precautions d'usage, a 
l'xnstar de 1' emission d'une carte bancaire classique 
L'autorite de confiance enregistre notamment la 
correspondance entre la donnee personnalisee contenue dans 
une carte 2 6 emise et 1'identite (par exemple le nom) de la 
personne a qui cette carte a ete rendue . 

En resultat, la securite repose ici d'une part, sur ' 
un drspositif contenant une puce securisee 26a et, d' autre 
part, sur une cle. Celle-ci peut etre soit partagee par 
tous les membres M du groupe G pour generer une signature " 
de groupe lorsque la donnee personnalisee est un < 
identifiant a chiffrer par cette cle, soit diversifiee, 
e'est-a-dire specif ique au membre lorsqu'elle constitue 
elle-meme la donnee personnalisee. Les aspects detailles 
25 de cette approche sont presentes dans ce qui suit. 

Tout d'abord, les modes de realisation de 
1' invention font appel a un schema de signature ordinaire S 
et un algorithme de chiffrement probabiliste et 
semantiquement sur (algorithme a cle publique ou a cle 
30 secrete). Ensuite, l'autorite de confiance 4 responsable du 
groupe genere la ou les cle(s) de signature SK ou analogue, 
purs met dans un annuaire la cle publique correspondante. 
Elle garde secrete la cle privee de signature, puis elle 
publie toutes les informations necessaires a la raise 
35 oeuvre de 1 'algorithme de chiffrement. 
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Pour devemr un membre, — one— persumrer^ obLient aupres- 

de l'autorite de confiance 4 une carte a puce 26 contenant 
d T une part, soit un identifiant z,soit une cle K 
diversifies (l'autorite de confiance gardant en memoire le 
5 lien entre la carte a puce, 1 ' identifiant z, et le cle K 
diversifiee ainsi que le nouveau membre M) , et d' autre 
part, la cle privee de signature SK. Celle-ci est done en 
fait une cle partagee entre tous les membres du groupe G. 
La carte possede de plus toutes les informations 

10 necessaires au chiffrement a l'aide de l'algorithme fourni 
par l'autorite de confiance. Muni de cet ensemble 
d' elements integres dans la carte a puce 26, le membre M 
peut, a l T aide de cette derniere, signer un message m au 
nom du groupe G, cette signature S pouvant etre ouverte par 

15 l'autorite de confiance (et par elle seule) si cela est 
necessaire . 

Pour signer un message m au norn du groupe, le membre 
utilise sa carte a puce qui va prendre en entree le message 
m. La carte va dans un premier temps realiser un 

20 chiffrement sp^cifique au membre k l'aide de l T algorithme 
de chiffrement de l'autorite de confiance, puis signer le 
message constitue de au moins le message m de depart et le 
chiffre obtenu precedemment, cette signature etant produite 
a l'aide de la cle privee partagee de signature qu'elle 

25 possede en memoire. En sortie, la carte a puce 26 envoie au 
destinataire 2, 6 (verifieur) le message, le chiffre et la 
signature. 

La verification de la signature consiste simplement 
a verifier la signature generee par la cle privee partagee, 
30 a l'aide de la cle publique correspondante. L'ouverture de 
la signature par l'autorite de confiance 4 consiste a 
dechiffrer la donnee personnalisee et a trouvor la 
correspondance avec l'identite du possesseur de la carte a 
puce 26. 
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Le resultat est tres rapide au niveau de la carte, 
puisque au moment de la signature S il n'y a qu'un 
chiffrement et une signature a effectuer (et done au 
maximum deux exponentiations modulaires) . 

Contrairement a l'etat de l'art relatif aux 
signatures de groupe ou le lien entre 1 ' identif iant et le 
message est realise par des mecanismes cryptographiques 
(preuves de connaissance) , 1' invention utilise une approche 
materielle avec une securite reposant sur .celle d'un objet, 
avantageusement securise, en 1' occurrence la carte a puce 
26. 

Le principe de fonctionnement des modes de 
realisation au niveau de la carte a puce est decrit de 
maniere plus detaillee par reference aux organigrammes des 
figures 5 a 7. Au prealable, 1 - architecture general d'une 
carte a puce pouvant etre utilisee dans le cadre de 
1' invention est decrite par reference a la figure 4. 

La figure 4 represente sous forme de schema bloc 
simplifie les elements fonctionnels selon une architecture 
possible de la carte a puce 26. Ces elements comprennent : 

- un microprocesseur 28 assurant la gestion de s 
f onctions internes et 1 ' execution de programmes applicatif s : 
de la carte. n peu t comprendre notamment un 

"cryptoprocesseur" optimise pour les calculs 

crytographiques ; 

une memoire vive accessible en ecriture 30 
(designee RAM de 1 ' acronyme anglo-saxon "random access 
memory"). Cette memoire sert entre autres a 

l'enregistrement de donnees ephemeres, par exemple les 
resultats intermediates de calculs algorithmiques ; 

une memoire remanente 32 de technologie 
programmable et a effacement electronique (designee EE PROM 
de l« acronyme anglo-saxon "electrically erasable 
programmable read-only memory (ROM)). Cette memoire sert 
notamment pour le stockage de donnees a long terme apres la 




fabrication de la carte, par exempts ta donnee 

personnalisee de la carte, le code logiciel lie aux 
algorithmes utilises, etc. ; 

- une memoire figee 34 du type ROM "masque", 
5 programmer avec des donnees immuables lors de son procede 

de fabrication a l'aide de masques. Cette memoire 

enregistre notamment le code de gestion interne de la 
carte, mais peut egalement stocker des donnees du cryptage 
communes aux membres du groupe. Le partage du stockage des 
10 donnees entre les raemoires EE PROM 32 et ROM masque 34 est 
au choix du concepteur ; 

- une interface de communication 36 par laquelle la 
carte echange des donnees avec 1 1 environnement exterieur, 
tel que le lecteur de carte 24 ou 27a ; et 

15 - un bus interne 38 qui relie les elements 

precites . 

Le principe general du f onctionnement de la carte 26 
pour la signature de messages est represents a la figure 5. 
Cette figure comporte un cadre a l'interieur duquel tous 

20 les elements - donnees ou actions - se situent au sein meme 
de la carte a puce, d'ou sa designation 26. Dans le cas 
illustre, la donnee personnalisee est sous la forme d'un 
identifiant z. 

Pour chaque message m a transmettre devant porter la 

25 signature S du groupe, la carte 26 soumet son propre 
identifiant z (case Bl) a un algorithme de chiffrement 
(designation generique E) (case B2) . La case Bl est 
representee en point illes, s'agissant d'un element qui peut 
etre supprime en cas d 1 utilisation d T une cle diversifies 

30 Kz. Concretement, cette action consiste a faire executer 
par le microprocesseur 28 le code de l f algorithme E lu a 
partir de l'EEPROM 32 et, le cas echeant, de la memoire ROM 
masque 34, avec insertion, en tant que para met re, de 
1' identifiant z lu en interne a partir d'une memoire de la 

35 carte, par ezempie la memoire EE PROM 32. L ! algorithme E 
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fait egalement intervenir au moins un autre parametre, tel 
qu'un nombre aleatoire et une cle de chiffrement, comme 
decrit plus loin par reference aux exemples. Le resultat 
de l'algorithme E sur 1 • identif iant z est le chiffre de 
l'identifiant, designe C = E(z) (case B3) . Le chiffre C et 
ensuite stocke provisoirement en interne dans la memoire 
RAM 32. 

En parallele, la carte receptionne le message m a 
signer sur son interface de communication 36 et 
l'enregistre provisoirement dans la memoire RAM 32 (case 
B4) . V 

Ensuite, la carte realise la concatenation m' du 
message m et du chiffre C (case B5) , soit m' = m||C. Cette 
operation consiste a produire un sequence binaire 
comportant la suite des bits du message m suivie/precedee 
des bits du chiffre C. 

La concatenation m' est ensuite fournie en tant que 
parametre a un autre algorithme, dit de signature 
(designation generique Sig) (case B6) , qui produit la 
signature de m' a 1'aide d'une cle privee de signature SK. 
Concretement, cette operation consiste a faire executer par 
le microprocesseur 28 le code de l'algorithme Sig lu a 
partir de 1'EEPROM 32 et, le cas echeant, de la ROM masque 
34, avec insertion, en tant que parametre, d'une part la 
cle de signature SK, lue en interne a partir d'une memoire 
de la carte, par exemple la memoire EE PROM 32, et d' autre 
part la concatenation m- lue a partir de la memoire RAM 30. 

La signature authentifiee S du message m ainsi 
produite par cet algorithme Sig est alors transmise en 
30 sortie a 1' interface de communication 36 de la carte 26 
pour exploitation dans le cadre du systeme de transaction 
de groupe G. Plus particulierement , le signature produite 
avec la cle privee de signature SK sur 1 ' operande m', soit 
Sig SK {m'), forme un ensemble transmis depuis l'ordinateur 
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p-exTS-amr el 10 ou le te-lep ho n e-^mobiHbs 27 v e r3 un prcstatairc 

de services 2 ou 6. 

Ces derniers, agissant en tant que "verif ieur", 
peuvent etablir si le message m extrait de la signature 
5 SigsKfm') provient ef f ectivement d T une carte authentique 26 
au moyen d'un algorithme de verification (designation 
generique Ver PK (m f ,S)) et d'une cle publique PK mise a la 
disposition generale par l'autorite de confiance 4. Cet 
algorithme est de nature dichotomique, produisant une 
10 reponse oui/non. 

Au niveau de l'autorite de confiance A, la signature 
est ouverte au moyen d'un algorithme de dechif f reriient D 
permettant de retrouver la correspondance entre 
l 1 identifiant z et I'identite du possesseur de la carte a 
15 puce 26, soit z « D(C) . 

Le tableau I resume les entites utilises par les 
differents protagonistes dans ce cadre general : 

Tableau I : liste des entites utilisees par tin 
manbre M (carte 26) , un verif ieur V et I'autorite de 
20 confiance pour le mode de realisation general. 

Elements utilises Elements utilises 

par Membre M (carte 26) par Verifieur V 

(prestataire de services 
2, 6) 

25 message m cle publique PK 

identifiant z Ver PK (m , f S) = oui/non 

cle privee SK 
C = E(z) 
m f = m||C 
30 S = Sigsi^^m 1 ) 

Elements utilises par 

1 1 autorite de confiance 4 

z - D(C) 

II sera rnaintenant decrit deux examples particuliers 
35 bases sur le mode de realisation general de la figure 5, 
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par reference respectivement aux figures 6 a 8. Chacune de 
ces figures est un organigrairane base sur celui de la figure 
5. Les elements (cases) des figures 6 a 8 qui 

correspondent a ceux de la figure 5, mais sous forme 
specif ique, portent les memes references suivi d'un signe 
"'" (prime) pour le cas de la figure 6 et d'un signe ">•» 
(double prime) pour le cas de la figure 7 ; les elements 
identiques entre les figures 5 et les figures 6 a 8 portent 
les memes references. Les aspects communs aux figures 6 a 8 
deja decrites par reference a la figure 5 ne seront pas 
repetes par souci de concision. • 

Exemple 1 : mode de realisation base sur 1' algorithms 
de chiffrement AES et de signature RSA 

Dans cet exemple (figure 6), le schema de signature 
choisi est l'algorithme RSA. Le module sera note n, la cle 
privee est SK et correspond a la cle partagee ; la cle' 
publique est PK . L'algorithme de chiffrement choisi dans 
1' exemple est AES (de 1' anglais "advanced encryption 
standard") qui est done un algorithme a cle secrete. On 
note K la cle associee. Dans ce cas illustre, il s'agit 
d'un cle partagee parmi tous les membres M du groupe G. 
L'autorite de confiance publie PK et garde toutes les' 
autres cles secretes. 

Conformement a ce premier exemple, l'algorithme AES de 
chiffrement B2 ' accepte en tant que parametre d' entree : i) 
l'identifiant z (case Bl) , ii) U ne cle secrete de 
chiffrement K (case B8) partagee parmi tous les membres M 
admis au groupe G et stockee dans la memoire EE PROM 32 et 
iii) un alea r (case B9) . Ce dernier est un nombre 
aleatoire d'une longueur binaire predeterminee, generee au 
sein de la carte 26 au moyen d'un code logiciel execute par 
le microprocesseur 28. L'alea r est renouvele a chaque 
signature de message m. 
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L'algorithme AES produit alors le chittre C de - 
1' identifiant et de l'alea r avec AES et la cle secrete K 
(case B3 1 ) . 

Ce chiffre C est ensuite soumis a une concatenation 
m' = m||C (case B5) , puis fourni en tant que parametre 
d' entree a un algorithme de signature de type RSA (Rivest, 
Shamir, Adleman) (case B6»). Cet algorithme prend en 
entree une cle privee de signature SK (case B7), avec 
lequel il produit la signature RSA de ra", soit S = m" SK mod 
n, ou m" = le resultat de PKCS#1 sur m' ; ou "mod n" 
signifie 1 ' arithmetique modulo n et PKCS#1 est une norme 
definie notamment dans le document "RSA Cryptography 
Standard - RSA Laboratories. Draft2 - 5 janvier 2001". 

Le tableau II resume les entit6s utilisees par les 
diff^rents protagonistes du groupe G selon le premier 
exemple : 

Tableau II : liste des elements utilises par un 
membre M (carte 26), un verifieur V et I'autorite de 
confiance selon 1' exemple 1. 



Elements utilises 

par Membre M (carte 26) 



message m 
identifiant z 
cle privee SK 
alea r 

C - AES(z,K,r) 

m» = m||C 

m" = PKCStKm') 

S = m" SK mod n 
Elements utilises par 
1 ' autorxte de confiance 



Elements utilises 
par Verifieur V 

(prestataire de services 
2, 6) 

cle publique PK 
m" = S PK mod n ? 
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Une securite supplementaire consiste a scinder 
l'autorite de confiance en deux. La premiere possede 
uniquement la cle privee SK (et n'a pas connaissance des 
identifiants des membres) : c'est l'autorite de groupe 
(c'est elle qui intervient lors de la phase d' inscription 
au groupe) . La seconde possede seulement la cle K ainsi 
que tous les identifiants des membres du groupe : c'est 
l'autorite d'ouverture (c'est elle qui intervient lors de 
la phase d'ouverture des signatures). Ainsi, une autorite, 
seule, ne peut pas se faire passer pour l'un des membres! 
Cette approche ressort du prinoipe qu'il est preferable de 
ne pas confier toute la securite du systeme a une' seule 
autorite. 

A l'arrivee d'un nouveau membre dans le groupe, 
l'autorite de confiance cree pour lui une nouvelle carte a : 
puce et place dans sa memoire n, SK et K ainsi qu'une 
valeur z (1 • identif iant du membre). Elle note dans sa base- 
de donnee que la valeur z est associee a ce nouveau membre.' 

Lorsque ce membre desire signer un message, il- 
insere sa carte dans un lecteur et lui demande de signer le 
message m. Dans un premier temps, la carte a puce utilise • 
l'algorithme AES avec comme entrees la cle K, la valeur z 
et un alea r (le chiffrement est ainsi probabiliste) pour 
obtenir en sortie le chiffre C. Ensuite, elle fabrique le 
message m' en concatenant le message m et le chiffre C 
qu'elle vient d' obtenir, puis modifie le resultat en un 
message m" selon par exemple la norme PKCS#1. Enfin, elle 
calcule S = m" SK modn. Le couple (S, C) est la signature de 
groupe du message m. 
30 Le verifieur n'a besoin que de n et de PK pour 

verifier que la signature vient bien d'un membre du groupe. 
II n'a qu'a verifier que m"= S PK modn, conformement a la 
norme definie plus haut. De plus, ne pouvant dechiffrer C 
(il ne possede pas la cle K) , il n »a aucun moyen de savoir 
35 a quel membre il a affaire. 
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Si r 1 autorife cfe contxance Sesire ouvrir Ta" 
signature,, elle n'aura qu'a utiliser l'algorithme AES et la 
cle K (il n f a pas besoin de l'alea r pour dechiffrer) pour 
obtenir z et regarder dans sa base de donnees qui 
5 correspond a z. 

Une variante elevant le niveau de securite consiste 
a choisir la cle Kz de chiffrement diversifiee selon 
1' identif iant, et de ne chiffrer que l'alea r, c'est-a-dire 
d'attribuer une cle Kz differente pour chaque membre M du 
10 groupe G. 

Dans cette variante, illustree a la figure 7, on 
s'affranchit de 1 1 identif iant z en tant que tel, celui-ci 
n'etant plus necessaire pour individualiser la carte 26 : 
1 ' individualisation est obtenue a la place directement par 

15 la cle de chiffrement diversifiee Kz (case B8) du fait 
qu'elle est individuelle . 

Sur le plan materiel, cette variante est raise en 
oeuvre de maniere analogue au premier exemple, mais en 
introduisant comme parametre dans l'algorithme de 

20 chiffrement (celui-ci pouvant toujours etre l'algorithme 
AES) seulement l'alea r, charge comme decrit precedemment 
(case B9), la case Bl etant naturellement suppriraee. Le 
chiffre C qui en resulte est traite de la raeme maniere 
(case B3' et suivantes) . On note que l'alea r integre dans 

25 le chiffre assure la merae fonction de decorreler le message 
m de sa signature. 

Ainsi, si une carte a puce est corrompue, le 
fraudeur n'aura acces qu ' & la cle diversifiee Kz de cette 
carte, et ne pourra done pas produire une signature de 

30 groupe au nom d'un autre identif iant que celui contenu dans 
cette carte. La phase d'ouverture consiste alors a tester 
toutes les cles de chiffrement existantes jusqu'a toruber 
sur la bonne. 
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Exemple 2 : mode de realisation base sur 1- algorithme 
de chiffrement RSA et de signature RSA 

Cet exemple (figure 8) est voisin de celui du 
premier exemple ( figure 6 ou 7), et seulement des 
differences vis-a-vis de celui-ci seront decrites. 

Le schema de signature choisi est une nouvelle fois 
1' algorithme RSA. Le module sera note n, la cle secrete 
est SK et correspond a la cle partagee ; la cle publique 
est PK. L ' algorithme de chiffrement est cette fois-ci 
asymetrique puisqu'il s'agit du cryptosysteme RSA comme 
decrit dans la norme precitee. • Le module sera note n'. La 
cle publique de chiffrement est e et la cle privee associee 



est d. 



A l'arrivee d'un nouveau membre M dans le groupe G, 
1'autorite de confiance produit une nouvelle carte a puce' ! 
26 ou charge des donnees dans une carte exist ante et place 
en memoire n, n', e et SK, ainsi qu'une valeur z* 
(1« identifiant du membre). Elle note dans sa base de" 
donnees que la valeur z est associee a ce nouveau membre. * 
20 Lorsque ce membre desire signer un message, il" ; 

insere sa carte 26 dans un lecteur 24 ou 27a et lui demande ' 
de signer le message m. Dans un premier temps, la carte va' 
chiffrer son identifiant z a l'aide du cryptosysteme RSA 
(case B2"). Pour cela, elle modifie la valeur z selon par 
exemple la norme precitee pour obtenir la valeur z' (cette 
modification prend en parametre entree z et un alea r(case 
B9)). Elle genere ensuite C = z' e modn\ qui est le chiffre 
de 1' identifiant, sur la base de la cle publique e (case 
Bll). Ensuite, elle fabrique le message m' en concatenant 
le message m et C qu'elle vient d'obtenir (case B5) , puis 
modifie le resultat en un message m" selon par exemple la 
norme PKCS#1 precitee. Enfin, elle calcule S = m" SK modn 
(case B6") sur la base de la cle privee de signature SK. 
Le couple (S,C) est la signature de groupe du message m. 
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" Le tableau III resume les entit£s utilisees par Ies~ 
differents protagonistes du groupe G selon le premier 
exemple : 

Tableau III : liste des elements utilises par un 
membre M (carte 26), un verifieur V et l'autorite de 
conf iance selon 1 1 exemple 2 . 

Elements utilises Elements utilises 

par Membre M (carte 26) par Verifieur V 



cle privee SK 
alea r 

z,r => z T (cf . PKCS#1) 
C = z 1 e mod n 1 
m 1 = m||C 

m f => m" (cf . PKCS#1) 

S = m ftSK mod n 
Elements utilises par 
l'autorite de conf iance 4 

z = C d mod n 1 

z f => z (cf. PKCS#1) 

z <=!> M 

Le verifieur 2,6 n'a besoin que de la valeur n et de 
PK pour verifier que la signature vient bien d'un membre du 
groupe, II n'a qu'a verifier que m ff = S PK mod n (cf. la 
norme PKCSftl precitee) . De plus, ne pouvant dechiffrer C 
(il ne possede pas la cle K) , il n'a aucun rnoyen de savoir 
a quel membre il a affaire. 

Si l'autorite de conf iance 4 desire ouvrir la 
signature, elle calcule C d mod p pour ret ember sur z\ puis 
sur z (la transformation entre z et z 1 ne necessite pas la 
connaissance de 1 f alea r et est entierement decrite par la 
normo precitee . 



message m 
identifiant z 



(prestataire de services 
2, 6) 

cle publique PK 
m" = S PK mod n ? 




Bien entendu, le deuxieme example permet aussi de 
scinder l'autorite en deux, comme deer it dans le cadre du 
premier exemple. De meme, il est egalement envisageable 
dans ce deuxieme exemple d'utiliser comme donnee 
5 personnalisee un cle diversifiee, et de s'affranchir de 
1 ! identif iant z, a l'instar de la variante de 1 1 exemple 1 
(cf . figure 7) . 

On comprendra de ce qui precede que 1' invention 
presente un avantage remarquable en termes de couts de 
10 calcul, puisqu'il suffit d f avoir au niveau de la carte 2 6 
juste un algorithme de chiffrement et un algorithme de 
signature, qui ensemble ne necessitent que ' deux 
exponentiations modulaires. 

L' invention permet de nombreuses variantes aussi 
15 bien au niveau des moyens materiels, cryptographiques, 
logiciels, communication entre les intervenants, qu'au 
niveau de applications. 

En effet, la signature de messages peut etre 
effectuee par tout dispositif adapte ne relevant pas 
20 forcement de la technologie des cartes a puce, tels que' 
objets portatifs specifiques, assistants personnels 
communicant, ressources d'un telephone mobile, etc. 

On peut par ailleurs aussi envisager d T autres 
systemes algorithmiques que ceux (AES et RSA) des exemples . 
25 La communication entre un membre M et un prestataire 

peut aussi s'effectuer par des liaisons locales, cSblees, 
hertzien, infrarouge ou autre. 

Enfin, les applications donnees (commerce avec 
pieces electroniques, ventes au encheres) ne sont que des 
30 exemples parmi de nombreuses autres applications possibles. 
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REVENDICATIONS 



1. Systeme de signature de groupe permettant a un 
membre (M) d'un groupe (G) de produire, a l'aide d'une 
donnee personnalisee (z; Kz) , un message (m) accompagne 
d'une signature (S) prouvant a un virifieur (2, 4) que 
ledit message provient d'un membre du groupe (G) , 

caracterise en ce que ladite donnee personnalisee se 
presente sous forme integree a un support materiel 
electronique (26) . 

2. Systeme selon la revendication 1, caracterise en 
ce ledit support materiel electronique (26) integre des 
moyens (B3) de chiffrement pour realiser un chiffre (C) 
personnalise a partir de ladite donnee personnalisee (z; 
Kz) prealablement a la signature S du message (m) . 

3. Systeme selon la revendication 2, caracterise en 
ce que ledit support materiel electronique (2 6) integre en 
outre des moyens (E5) pour realiser une combinaison d'un 
message (m) a signer et le chiffre C associe a ce message, 
sous forme de concatenation du message m avec le chiffre 



4. Systeme selon l'une quelconque des revendications 

1 a 3, caracterise en ce que ledit support materiel (26) 
integre en outre des moyens (B6) de signature (Sig) du 
message (m) avec la donnee personnalisee (z; K) sous forme 
de chiffre (C) associe a ce message. 

5. Systeme selon 1 T une quelconque des revendications 

2 a 4, caracterise en ce que ladite donnee personnalisee 
est un identifianfc (z) personnel au membre (M) et en ce que 
ledit support materiel electronique (26) integre en outre 



(C) . 



# 



25 



une cle de chiffrement (K) commune aux membres du groupe 
(G), les moyens (B3) de chiffrement realisant un chiffre 
(C) de l'identifiant avec ladite cle de chiffrement. 

6. Systeme selon la revendication 5, caracterise en 
ce que les moyens (B3) de chiffrement realisent un chiffre 
(C) de l'identifiant et d'un alea (r) . 

7. Systeme selon l'une quelconque des revendications 
2 a 4, caracterise en ce que ladite donnee personnalisee 
est une cle de chiffrement (Kz) diversifies, propre a 
chaque membre (M) du groupe <G) et en ce que les moyens 
(B3) de chiffrement realisent un chiffre (C) d'au moins une 
donnee (r) avec ladite cle de chiffrement. 

8. Systeme selon la revendication 7, caracterise en 
ce que ladite donnee comprend un alea (r) . 

9. Systeme selon l'une quelconque des revendications 
2 a 8, caracterise en ce que les moyens de chiffrement (B3) 
mettent en oeuvre un algorithme de chiffrement a cle secrete 
(K), par exemple 1' algorithme connu par la designation AES 
(advanced encryption standard) . 

10. Systeme selon l'une quelconque des revendications 
2 a 8, caracterise en ce que les moyens de chiffrement (B3) 
mettent en csuvre un algorithme de chiffrement a cle 
publique <e), par exemple l'algorithme connu par la 
designation RSA (Rivest, Shamir, Adleman) . 

11. Systeme selon l'une quelconque des revendications 
4 a 10, caracterise en ce que les moyens (B6) de signature 
(Sig) mettent en oeuvre un algorithme de signature a cle 
privee (SK) , par exemple l'algorithme connu par la 
designation RSA (Rivest, Shamir, Adleman) . 




— - 12. Systeme selon la revendication TT, caracterise en 
ce que 1 1 algorithme de signature est, du type RSA et inclut 
la norme dite PKCS#1 telle que definie notamment dans le 
document "RSA Cryptography Standard - RSA Laboratories. 
Draft2 - 5 janvier 2001". 

13. Systeme selon l ! une quelconque des revendications 
la 12, caracterise en ce que ledit support materiel 
electronique est un dispositif communicant portatif (26) . 

14. Systeme selon la revendication 13, caracterise en 
ce que ledit support materiel electronique est une carte a 
puce (26) . 

15. Precede d' emission d'un message (m) avec une 
signature (S) de groupe (G) de ce message, caracterise en 
ce qu f il met en ceuvre le systeme selon I'une quelconque des 
revendications 1 a 14, la signature du message (m) etant 
produite avec une cle (SK) privee commune aux membres (M) 
du groupe (G) et integrant la donnee personnalisee (z; Kz) 
produite a partir du support materiel electronique (26), 
le precede prevoyant de transmettre le message ainsi signe 
a un verifieur (2, 6) sans recours a une fourniture de 
preuve a ce dernier de 1 T appartenance de membre (M) audit 
groupe (G) , tel qu'un certificat de membre ou la preuve de 
possession d T un tel certificat. 

16. Precede de verification d'un message (m) regu 
avec une signature de groupe de ce message, le message 
ayant ete emis conf ormement a la revendication 15, 
caracterise en ce que ladite verification est realisee au 
moyen d'une cle publique qui correspondent a ladite cle 
privee (SK) . 
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17. Precede d'ouverture d'une signature (S) produite 
par le systeme selon l'une quelconque des revendications 1 
a 14, caracterise en ce qu'il comprend les etapes 
consistant a : 

mettre a disposition, prealablement a la 
signature, des donnees de correspondance entre les 
identites des membres (M) du groupe (G) et les donnees 
personnalisees ; 

- dechiffrer la donnee personnalisee recue a partir 
d'un support materiel electronique (26) dont la signature 
est a ouvrir ; et 

- mettre en correspondance la donnee personnalisee 
dechiffree avec l'identite du membre (M) du groupe (G) 

18. Procede de preparation d'un support materiel 
electronique (26) du systeme selon l'une quelconque -des 
revendications 1 a 14, personnalise a un membre (M) admis a 
un groupe, caracterise en ce qu'il comprend les etapes 
consistant & : 

- produire la donnee personnalisee (z; Kz) destinee 
audit support materiel electronique (26) a personnaliser ; 
et 

- inscrire cette donnee personnalisee avec une cle 
privee de signature (SK) dans ledit support. 
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